Wissenschaftler des BMBF-geförderten Projekts „AppPETs“ wurden Anfang Dezember auf der internationalen Leitkonferenz für IT-Sicherheit „Annual Computer Security Applications Conference“ (ACSAC) in San Juan (Puerto Rico) für ihre Forschungsarbeit ausgezeichnet.
Ihr Konferenzbeitrag „Tracking Users across the Web via TLS Session Resumption“ wurde mit dem „Outstanding Paper Award“ ausgezeichnet. Insgesamt wurden dreihundert Arbeiten eingereicht.
Die Wissenschaftler von der Universität Hamburg untersuchten eine bis dato weitgehend unerforschte Möglichkeit des Webtrackings auf Basis der Transportverschlüsselung TLS (Transport Layer Security). Das TLS-Protokoll dient der sicheren Datenübertragung im Internet. Im Blickpunkt der Forschungsarbeit stand besonders der Mechanismus der „TLS-Session-Wiederaufnahme“ (TLS Session Resumption): Er ermöglicht es, eine einmal aufgebaute TLS-Verbindung schnell wieder aufzunehmen. Dies geschieht, indem sich der Webbrowser bei einem erneuten Besuch mit einer speziellen ID authentifiziert, anhand derer die Serverseite den Browser und die letzte Sitzung wieder erkennt. Diesen Mechanismus könnten laut der Forscher Werbetreibende ausnutzen, um Internetnutzer zuzuordnen und ihr Surfverhalten zu verfolgen. Hinweise darauf, dass diese Trackingmethode bereits eingesetzt wird, haben die Forscher zwar nicht gefunden. Dennoch: Die Forschungsergebnisse legen nahe, dass die Verschlüsselung der Daten im Netz mit TLS dem Schutz der Privatsphäre von Nutzerinnen und Nutzer nicht gerecht wird.
In ihrer Arbeit zeigen die Forscher auch Gegenmaßnahmen auf: So empfehlen sie zum einen Änderungen des TLS-Standards, zum anderen raten sie zur Deaktivierung der Session-Resumption-Funktion in den Browser-Einstellungen. Die Auswirkungen sind kaum spürbar, lediglich der Seitenaufbau verzögert sich etwas. Einige Browser wie „JonDoBrowser“, „Tor Browser“ und „Orbot“ (Android) tun dies standardmäßig und unterstützen die „TLS Session Resumption“ gar nicht erst.